hao86下載站:值得大家信賴的游戲下載站!

首頁(yè) > 區(qū)塊鏈 > Permit簽名釣魚有多危險(xiǎn)?這次失手的加密大戶竟然被盜420萬美元

Permit簽名釣魚有多危險(xiǎn)?這次失手的加密大戶竟然被盜420萬美元

時(shí)間:2024-01-22 22:29:45
來源:hao86下載
區(qū)塊鏈

【#區(qū)塊鏈# #Permit簽名釣魚有多危險(xiǎn)?這次失手的加密大戶竟然被盜420萬美元#】

2024年1月22日,據(jù)Beosin旗下EagleEye安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷平臺(tái)監(jiān)測(cè)顯示,一位加密大戶遭受到網(wǎng)絡(luò)釣魚攻擊,造成了420萬美元的損失,而關(guān)鍵點(diǎn)漏洞,是我們經(jīng)常提及的Permit簽名。

在早些時(shí)間Beosin與區(qū)塊鏈安全研究員菠菜共同研究并發(fā)布了《簽名就被盜?用過Uniswap的請(qǐng)警惕!揭秘Permit2簽名釣魚》安全研究文章,文中詳細(xì)描述了攻擊者如何利用permit2函數(shù)對(duì)用戶發(fā)起釣魚攻擊,而本次事件所利用的攻擊原理與文章中描述的permit2攻擊方式基本一致,只是permit是針對(duì)于支持該函數(shù)的erc20合約,而permit2針對(duì)的可以是所有erc20合約。

本篇文章我們一起來看看攻擊者一般是利用什么來誘騙用戶對(duì)詐騙信息進(jìn)行簽名的,以及一些安全防范技巧。

什么是Permit簽名釣魚?

Permit簽名是一種特定的數(shù)字簽名機(jī)制,用于在某些情況下簡(jiǎn)化授權(quán)操作。它是基于區(qū)塊鏈技術(shù)和密碼學(xué)原理的一種安全驗(yàn)證方式。

在傳統(tǒng)的數(shù)字簽名中,簽名者需要擁有私鑰來對(duì)特定的數(shù)據(jù)進(jìn)行簽名,并將簽名后的數(shù)據(jù)與公鑰一起傳輸給驗(yàn)證方。驗(yàn)證方使用相應(yīng)的公鑰來驗(yàn)證簽名的有效性。

然而,Permit簽名采用了一種不同的方法。它允許持有者通過簽署一份特殊的授權(quán)消息,將對(duì)特定操作的訪問權(quán)限授予他人,而無需直接將私鑰傳輸給受許可方。

Permit簽名釣魚則是利用用戶對(duì)授權(quán)操作的不加仔細(xì)驗(yàn)證或理解,以獲取未經(jīng)授權(quán)的權(quán)限或敏感信息。這種攻擊利用了用戶對(duì)授權(quán)流程或簽名機(jī)制的信任,通過欺騙用戶產(chǎn)生偽造的授權(quán)操作或簽名請(qǐng)求。

黑客通常采取哪些Permit簽名釣魚攻擊?

偽造授權(quán)請(qǐng)求:

攻擊者可能創(chuàng)建一個(gè)看似合法的授權(quán)請(qǐng)求,以騙取用戶的信任。這可能涉及偽造的應(yīng)用或網(wǎng)站,要求用戶提供他們的授權(quán)或簽名來執(zhí)行某個(gè)操作。

誤導(dǎo)用戶操作:

攻擊者可能通過欺騙用戶進(jìn)行誤操作來實(shí)施攻擊。例如,他們可能創(chuàng)建一個(gè)看似無害的按鈕,但實(shí)際上觸發(fā)了未經(jīng)用戶認(rèn)可的授權(quán)操作。

偽造授權(quán)頁(yè)面:

攻擊者可能通過偽造與正常授權(quán)頁(yè)面相似的頁(yè)面來引誘用戶進(jìn)行授權(quán)操作。這些頁(yè)面通常設(shè)計(jì)得與正常的授權(quán)頁(yè)面幾乎一模一樣,以欺騙用戶并使其相信他們正在與合法的應(yīng)用或服務(wù)進(jìn)行交互。

社交工程:

攻擊者可能利用社交工程技巧,通過發(fā)送釣魚郵件、短信或社交媒體消息等方式,引導(dǎo)用戶點(diǎn)擊惡意鏈接或進(jìn)入偽造的授權(quán)頁(yè)面。

如何安全防范?

考慮到Permit簽名的一些釣魚攻擊,此前研究員菠菜給了我們一些有效的防范手段有:

1 理解并識(shí)別簽名內(nèi)容:

Permit的簽名格式通常包含Owner、Spender、value、nonce和deadline這幾個(gè)關(guān)鍵格式,如果你想享受Permit帶來的便利和低成本的話一定要學(xué)會(huì)識(shí)別這種簽名格式。(下載安全插件是一個(gè)很好的選擇)

我們向各位讀者朋友推薦下面這款Beosin Alert反釣魚插件,可以識(shí)別Web3領(lǐng)域的大部分釣魚網(wǎng)站,守護(hù)大家的錢包和資產(chǎn)安全。

反釣魚插件下載:

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en

2 放資產(chǎn)的錢包和交互的錢包分離使用:

如果你有大量資產(chǎn)的話,建議資產(chǎn)都放在一個(gè)冷錢包中,鏈上交互的錢包放少量資金,可以大幅減少遇到釣魚騙局時(shí)的損失。

3 識(shí)別代幣性質(zhì),是否支持permit功能:

后續(xù)可能越來越多的ERC20代幣使用該擴(kuò)展協(xié)議實(shí)現(xiàn)permit功能,對(duì)于你來說需要關(guān)注自己所持有的代幣是否支持該功能,如果支持,那么對(duì)于該代幣的交易或操縱一定要格外小心,對(duì)于每條未知簽名也要嚴(yán)格檢查是否是對(duì)permit函數(shù)的簽名。

4 若被騙后還有代幣存在其他平臺(tái),需制定完善的拯救計(jì)劃:

當(dāng)你發(fā)現(xiàn)自己被詐騙,代幣被黑客轉(zhuǎn)移出去后,但自己還有代幣通過例如質(zhì)押等方式存在其他平臺(tái)上,需要提取出來轉(zhuǎn)移到安全地址上,這時(shí)需要知道黑客可能時(shí)刻監(jiān)控著你的地址代幣余額,因?yàn)樗麚碛心愕暮灻灰愕谋槐I地址上出現(xiàn)了代幣,那么黑客可以直接轉(zhuǎn)移出去。這時(shí)需要制定完善的代幣拯救過程,在提取代幣和轉(zhuǎn)移代幣兩個(gè)過程需要一起執(zhí)行,不能讓黑客交易插入其中,可以使用MEV轉(zhuǎn)移,這需要一些區(qū)塊鏈知識(shí)以及代碼功底,也可以尋找專業(yè)的安全公司比如Beosin團(tuán)隊(duì)利用交易搶跑腳本來實(shí)現(xiàn)。

小編推薦下載

相關(guān)文章

更多>>

資訊排行

同類軟件下載